XXX电厂二次系统技术方案

1XXX 风电场二次系统安全防护技术方案1. 二次系统安全防护方案1.1. 设计依据中华人民共和国计算机信息系统安全保护条例 ，国务院 1994 年发布；计算机信息系统保密管理暂行规定 ，国家保密局 1998 年发布；计算机信息系统安全保护等级划分准则 （GB17859-1999 ） ，公安部 1999 年发布；电力工业中涉及的国家秘密及具体范围的规定 ，电力工业部和国家保密局 1996年发布；电力监控系统安全防护规定 ，中华人民共和国国家发展和改革委员会令第 14 号；关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知(国能安全201536 号),国家能源局。1.2. 设计原则 系统性原则（木桶原理） ； 简单性和可靠性原则； 实时、连续、安全相统一的原则； 需求、风险、代价相平衡的原则； 实用与先进相结合的原则 ； 方便与安全相统一的原则；2 全面防护、突出重点（实时闭环控制部分）的原则； 分层分区、强化边界的原则； 整体规划、分步实施的原则； 责任到人，分级管理，联合防护的原则。1.3. 设计范围 依据二次系统安全防护相关文件的规定，对风电场的生产控制系统和信息管理系统的总体结构及各类子系统和设备的安全状况进行分析。 根据安全分析，提出二次系统的安全区结构和安全措施。 提出安全设备技术指标要求。 对风电场安全管理体系的建设提出建议。 提出主要设备表和投资估算。1.4. 发电厂二次系统安全防护的意义近年一些重大安全事故的发生，使得全国电力二次系统安全问题凸现。如何保障电力系统信息安全，防止外部恶意攻击和信息窃取，从而避免二次系统的安全问题间接影响到电力系统的安全稳定运行是目前正在广泛研究的课题。发电厂作为电力系统的重要组成部分，其安全与电网运行密切相关，同时发电厂作为发电集团基础生产单位，其安全也直接影响到集团的生产管理。积极做好发电厂二次系统安全防护既有利于配合电网二次系统安全防护工作的实施，确保整个电力系统安全防护体系的完整性，也有利于为发电集团提供安全生产和管理的保障。XXX 风电场（以下简称风电场）的安全生产对整个电网的稳定运行具有重要作用。因此风电场二次系统安全防护具有特别重要的意义。1.5. 发电厂二次系统安全防护总体要求1.5.1. 安全防护的目标及重点二次系统安全防护是电力系统安全生产的重要组成部分，其目标是：1）抵御黑客、病毒、恶意代码等通过各种形式对电力二次系统发起的恶意破坏和攻击，尤其是集团式攻击；2）防止内部未授权用户访问系统或非法获取信息以及重大违规操作。防护重点是通过各种技术和管理措施，对实时闭环监控系统及调度数据网的安全3实施保护，防止电力二次系统瘫痪和失控，并由此导致电力系统故障。1.5.2. 安全防护总体策略 安全分区根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内。 网络专用安全区边界清晰明确，区内根据业务的重要性提出不同安全要求，制定强度不同的安全防护措施。特别强调，为保护生产控制业务应建设电力调度数据网，实现与其它数据网络物理隔离，并以技术手段在专网上形成多个相互逻辑隔离的子网，保障上下级各安全区的纵向互联仅在相同安全区进行，避免安全区纵向交叉。 横向隔离在安全区之间和安全区通信通道间采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。 纵向认证采用认证、加密、访问控制等手段满足各种数据在远程通信中的保密性、完整性和可用性要求，防止远程攻击和违规操作，形成纵向边界的安全防御，与调度机构和上级管理单位建立互信可靠的通信机制。1.6. 风电场二次系统安全防护分析1.6.1. 本专题研究涵盖的二次系统本专题研究涵盖的二次系统如下表所示意。序号 安全区 系统名称 备注1 风机集中控制系统2 网控系统（NCS）3 相量测量装置(PMU)4安全区系统保护装置5 风功率预测系统6 电能量计量厂站系统7 故障录波系统8安全区保护及故障录波信息子站49 电能质量监测10 DMIS 终端11管理信息大区MIS 网1.6.2. 风电场二次系统现状1.6.2.1. 安全区 I 区系统介绍安全区（控制区）是指由具有实时监控功能、纵向连接使用调度数据网的实时子网或专用通道的各业务系统构成的安全区域。控制区中的业务系统或其功能模块（或子系统）的典型特征为：是电力生产的重要环节，直接实现对电力一次系统的实时监控，纵向使用调度数据网或专用通道，是安全防护的重点与核心。1.6.2.1.1. 风机集中控制系统风机集中控制系统采用一套 XXX 公司提供的 SCADA 系统。风机集中控制系统主要作用在于可在风电场有功功率自动控制上，接收电网调度下发的风电场有功自动控制指令，根据风电机组的不同的运行、控制特性和实时运行工况，综合运用风机监控系统提供的集群控制、单机功率控制、单机启停等控制手段，进行目标出力在具体风电机组上的优化分配控制。系统具备安全约束校核和控制指令校核功能，校核未通过将闭锁相应控制，并且闭锁状态必须由人工解除。在遇到故障等紧急情况时，系统可以强制退出有功自动控制控制，并设置有功自动控制状态信号为退出。操作系统主要采用 Windows 系统，数据库主要采用 SQL SERVER 数据库；其与外部系统的接口如下，均采用 TCP/IP 协议进行数据通讯：序号 互联系统或设备 接口型式1 风功率预测系统 TCP/IP 协议51.6.2.1.2. 网控系统（NCS）网控系统主要是作为全厂站的设备监视、测量、控制、管理的中心，通过光纤传输，接受现场采集的数字量、模拟量与电度量信息，以及向现场发布控制命令。操作系统主要采用 UNIX 系统，其与外部系统的接口如下，均采用 TCP/IP 协议进行数据通讯，部分数据按照要求通过调度数据网发送至 XX 市调 SCADA 系统：序号 互联系统或设备 接口型式1 风功率预测系统 TCP/IP 协议2 XX 市调 SCADA 系统 XX 市 调 度 数 据 网 、 TCP/IP 协议1.6.2.1.3. 相量测量装置（PMU）同步相量测量装置 PMU 主要利用全球定位系统(GPS)提供的精确时间基准对电力系统的状态进行数据采集,它可以直接测得 PMU 安装点的节点电压相量,包括电压有效值和相角,通过把监测到的数据经由通讯网络传送到调度中心,供管控人员进行分析,对厂站电力系统监视、保护、稳定判别和稳定控制起到重要作用。测量数据通过调度数据网发送到 XX 市调 WAMS 系统。网络通讯接口做为备用通道，采用 TCP/IP 协议进行数据通讯。序号 互联系统或设备 接口型式1 XX 市调 WAMS 系统 XX 市 调 度 数 据 网 接 入 、 TCP/IP 协议1.6.2.1.4. 系统保护装置继电保护装置能反应电气设备的故障和不正常工作状态并自动迅速地、有选择性地动作于断路器将故障设备从系统中切除，保证无故障设备继续正常运行，将事故限制在最小范围，提高系统运行的可靠性，最大限度地保证向用户安全、连续供电。内部数据采集主要采用串口、103 规约。与外部系统通讯如下，则采用 TCP/IP 协议进行数据通讯。6序号 互联系统或设备 接口型式1 故 障 录 波 系 统 TCP/IP 协议1.6.2.2. 安全区 II 区系统介绍安全区（非控制区）在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用调度数据网的非实时子网的各业务系统构成的安全区域。非控制区中业务系统或功能模块的典型特征为：是电力生产的必要环节，在线运行但不具备控制功能，使用调度数据网，与控制区中的业务系统或功能模块联系紧密。1.6.2.2.1. 风功率预测系统风功率预测系统采用一套 XX 公司提供的 NRFM 风功率预测系统。风电具有间歇性、随机性和波动性。风电场出力不稳的特点，利用风电功率预测系统使风电场可以向电网公司提供准确的天前发电功率曲线，这使得电网调度可以有效利用风电资源，提高风电发电上网小时数额。同时满足了相关国家发展要求规范。操作系统主要采用嵌入式 UNIX 操作系统，内部数据通讯采用 TCP/IP 协议进行通讯，部分数据按照要求通过调度数据网发送至 XX 市调。序号 系统或设备 接口型式1 风机集中控制系统 TCP/IP 协议2 网控系统 NCS TCP/IP 协议3 XX 市调 XX 市 调 度 数 据 网 接 入 、 TCP/IP 协议1.6.2.2.2. 电能量计量厂站系统电能量采集计量系统的建设实施是为了能够安全、可靠、准实时地采集电能量原7始数据及相关信息，在此基础上具备丰富的数据合理性校验、数据业务处理、统计计算、电能量管理、网损管理、报表生成、数据发布等应用功能，为各部门提供生产运行数据，为各决策部门提供决策依据。系统主要使用 LINUX 操作系统。本系统与外部系统的接口均采用 TCP/IP 协议进行数据通讯，系统内部接口则采用串口进行数据采集，部分数据按照要求通过调度数据网发送至 XX 市调 TMR 系统。序号 系统或设备 接口型式1 XX 市调 TMR 系统 XX 市 调 度 数 据 网 接 入 、 TCP/IP 协议1.6.2.2.3. 故障录波系统故障录波系统由电网调度端的故障录波信息管理、电网层的故障元件诊断、以及双端测距等功能组成。可在系统发生故障时，自动地、准确地记录故障前、后过程的各种电气量的变化情况，通过这些电气量的分析、比较，对分析处理事故、判断保护是否正确动作、提高电力系统安全运行水平均有着重要作用。系统内部与本地保护及故障录波信息子站之间通过 TCP/IP 协议进行数据通信。系统内部与安全区 I 区系统安全保护装置之间通过 TCP/IP 协议进行数据通信。系统与 XX 市调故障录波系统通信通过调度数据网通讯。序号 系统或设备 接口型式1 系统保护装置 TCP/IP 协议2 保护及故障录波信息子站 TCP/IP 协议3 XX 市调故障录波系统 XX 市 调度数据网接入、TCP/IP 协议1.6.2.2.4. 保护及故障录波信息子站保护及故障录波信息管理系统子站将完成对大量由不同厂家生产制造、具有不同型号、采用不同通信协议的变电站内继电保护、故障录波等智能装置的统一接入，集中管理，从这些装置中采集数据，并进行必要的处理(如汉化、过滤、分类)，在此基础上形成统一有序的数据格式，然后通过网络、专线、电话拨号等有选择、分优先级地上送到各调度中心(主站)，再进行数据的集中分析处理，从而实现全局范围的故障8诊断、测距、波形分析、历史查询、保护动作统计分析等高级功能。系统内部与故障录波装置之间通过 TCP/IP 协议进行数据通信。系统与 XX 市调故障录波系统通信通过调度数据网通讯。序号 系统或设备 接口型式1 故 障 录 波 系 统 TCP/IP 协议2 XX 市调故障录波系统 XX 市 调 度 数 据 网 接 入 、 TCP/IP 协议1.6.2.2.5. 电能质量监测电能质量监测装置除具有常规的电能质量稳态指标的监测外，还对电能质量的暂态扰动，主要是电压的骤升、骤降进行监测和记录。主要功能包括：（1） 基本测量量电网频率；电压、电流有效值；总的有功、无功功率、功率因数。（2） 基本监测指标 三相基波电压、电流有效值，基波功率、功率因数、相位等； 电压偏差； 频率偏差； 三相电压不平衡度、三相电流不平衡度、负序电压、电流； 谐波（250次） 。包括电压、电流的总谐波畸变率、各次谐波含有率、幅值、相位； 各次谐波的有功、无功功率等；（3） 高级监测指标 间谐波； 电压波动、闪变； 电压骤升、骤降、短时中断； 暂时过电压、瞬态过电压。系统与 XX 市调通信通过调度数据网通讯。序号 系统或设备 接口型式1 XX 市调电能质量监测采集主站 XX 市 调 度 数 据 网 接 入 、 TCP/IP 协议91.6.2.3.安全区 III/IV 区系统介绍按照电力二次系统安全防护规定 ，管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区，原则上应划分为安全区（生产管理区）和安全区（管理信息区） 。1.6.2.3.1. DMIS 终端XXX 电站 DMIS 只使用 DMIS 终端，与 XX 市调 DMIS 系统之间经过电力数据通信网通信，采用 TCP/IP 协议。DMIS 应用主要包括调度门户网站、调度管理互联模块、基础信息管理、调度流程管理、运行值班管理、生产控制管理、专业运行管理、统计分析报表、调度技术培训、调度综合管理等十大应用。序号 系统或设备 接口型式1 XX 市调 DMIS 系统 XX 市 电 力 数 据 通 信 网 、 TCP/IP 协议1.6.2.4.安全区 IV 区系统介绍1.6.2.4.1. MISMIS 网是管理信息大区网络和其上运行的服务以及用户端的统称。MIS 网以核心交换机为中心，网络覆盖风电场主要建筑内，提供的服务包括办公自动化、财务管理、生产运行数据发布等，网络用户数量大、用户类型复杂。MIS 网络对外的连接包括与集团公司的连接以及与 Internet 的连接。序号 互联系统或设备 接口型式1 企 业 内 网 TCP/IP 协 议2 互 联 网 TCP/IP 协 议101.7. 风电场二次系统安全防护方案1.7.1. 安全防护目标风电场二次系统安全防护主要针对网络信息安全，目标是：1）抵御黑客、病毒、恶意代码等通过各种形式对电力二次系统发起的恶意破坏和攻击，尤其是集团式攻击；2)防止内部未授权用户访问系统或非法获取信息以及重大违规操作行为。防护重点是通过各种技术和管理措施，对实时闭环监控系统及调度数据网的安全实施保护，防止电力二次系统瘫痪和失控，并由此导致电力系统故障。1.7.2. 总体安全需求根据对风电场二次系统现状的分析，现提出以下总体安全需求说明：1） 通信安全需求 厂内各系统设备之间采用以太网方式连接则必须采取符合相关规定的横向隔离措施。 生产业务系统设备与调度端专线通信方式不考虑安全防护。 生产业务系统设备与调度端采用语音拨号通信不考虑安全防护。 生产业务系统设备与调度端经电力调度数据网和保护专用网络通信须采取隔离措施，防止网络攻击、病毒和非法操作。 MIS 网与集团公司和 Internet 的网络通信应进行隔离，防止病毒、网络攻击和非法操作。 DMIS 终端与市调 DMIS 系统的网络通信应进行隔离，防止病毒、网络攻击和非法操作。 出差人员与 MIS 的远程拨号访问须采取严格技术和管理手段防止重要数据被窃取泄漏。防止该通道成为病毒传播和恶意攻击跨越防火墙的途径。2）各系统安全需求 风机控制系统及 NCS 系统内部应具有病毒防护能力，防止病毒传播。系统主机和工作站的操作系统漏洞和应用系统漏洞存在被利用的风险，应及时封堵或升级，重要服务器、操作员站和通信工作站应进行主机加固，加强系统访问控制和操作审查。 MIS 网内重要服务器应采取有效的访问控制和隔离手段，封堵系统漏洞，过滤恶意代码病毒，阻挡网络攻击。各应用服务器应具有病毒防护能力。11 各种移动设备是网络内部病毒传播的主要介质，应进行严格管理控制。 各业务系统管理、操作人员，各终端使用人员的操作行为应得到有效监控，防护措施应能在一定程度上防止并可靠记录误操作和恶意违规操作。3）全局安全需求 生产控制业务系统网络应能实时、可靠地响应安全事故，进行事故追忆，并具有学习功能。 电站应定期对二次系统进行安全性评价。 电站应具有全面合理的二次系统安全管理体系。当风电场二次系统发生变化时，仍可参考上述总体需求实施安全防护调整。1.7.3. 安全分区基于简化后的风电场二次系统连接关系图，各系统安全分区拓扑采用链式结构，如图 5-2 所示。管理信息大区安全区 安全区 逻辑隔离横向隔离图 5-2 风电场安全区拓扑结构1.7.4. 安全措施1.7.4.1.风电场横向通信防护（1）采用国产硬件防火墙在安全区与安全区之间建立起逻辑隔离。（2）在安全区与管理信息大区之间采用正反向物理隔离装置隔离。（3）风电场 MIS 网与 Internet 之间采用防火墙逻辑隔离。1.7.4.2.纵向通信防护（1）调度数据网纵向安全防护实时 VPN 和非实时 VPN 均采用纵向加密认证装置与 XX 市调纵向加密认证装置建立双向的身份认证和数据加密通信。（2）MIS 与集团广域网纵向安全防护部署防火墙进行安全防护。12（3）DMIS 终端与 XX 市调纵向安全防护配置防火墙进行安全防护（4）风电场与调度中心之间的模拟/数字专线、拨号方式通讯暂不考虑采取安全防护措施。1.7.4.3.防病毒在各安全区内设置网络防病毒系统或安装单机防病毒软件，防止设备安装调试或维护过程中由于不当的使用移动存储设备以及笔记本电脑造成病毒侵入系统，导致系统不能正常运行，给风电场的生产管理造成不便，甚至影响风电场的安全生产。由于安全区、安全区内的自动化系统网络相对独立，不便于统一防病毒系统的形式，建议根据系统规模采用单机或网络方式的防病毒系统。管理信息大区的应用基本上都建立在 MIS 网上，建议采用网络方式的防病毒系统。网络方式的防病毒系统由病毒服务器和客户端组成，服务器通过 MIS 网络统一自动对接入网络的客户端进行软件版本、病毒库等内容的升级。1.7.4.4.实时入侵检测防火墙的防护能力有限，其被动防御的策略也无法满足信息安全防护实时动态的要求，同时防火墙无法应对网络内部的安全问题。为保证安全防护能实时、动态应对安全事件，增强对网络行为的监察、控制和审计能力，生产控制大区部署在安全区 I、安全区 II 分别部署一套入侵检测系统，探头部署于安全区、安全区汇聚交换机侧，管理信息大区部署一套网络入侵检测系统，检测探头部署于管理信息大区核心交换机侧。1.7.4.5.安全审计专用横向物理隔离装置、防火墙、入侵检测、防病毒系统等二次系统安全防护设备都有其运行工况和系统安全状况的日志。为方便运行维护人员分析、判断、预防和及时响应处理系统的安全事件，生产控制大区应建立安全审计管理平台完成全面的日志分析、告警和综合安全管理。 安全审计管理平台部署在安全区，通过 SNMP 协议或 SYSLOG 等方式获取生13产控制大区安全设备（如防火墙、IDS 、专用隔离设备、防病毒系统等） 、调度数据网设备的安全事件信息，对网络安全事件信息进行集中分析过滤、处理、保存。合理的事件配置可以为管理人员提供及时、可靠的告警，实现全网的实时安全检测，清晰的记录可为安全审计提供有力的支持，统一标准化的管理功能可有效的整合生产控制大区的安全防护体系，衔接安全技术和安全管理，从全局高度维护网络的安全性。1.7.5. 项目实施与设备部署本期工程安全防护设备及部署如图所示。图 5.3 安全防护设备部署141) 系统保护装置与保护信息管理子站间的防火墙由保护信息管理子站厂家提供；2) I/II 区间增加安全审计、I